PowerShell: Hiểm Họa Tiềm Ẩn Trên Hệ Điều Hành Windows

PowerShell Là Gì Trên Windows?

PowerShell là một công cụ tự động hóa và cấu hình nâng cao của Windows. Nó cho phép người dùng thực hiện các lệnh để điều chỉnh hệ thống hoặc chạy các kịch bản tự động thực hiện các nhiệm vụ phức tạp. PowerShell có quyền truy cập để thay đổi các cài đặt quan trọng trên máy tính của bạn và chạy các kịch bản nhạy cảm với hệ thống. Tuy nhiên, PowerShell không phải là một ứng dụng độc hại; nó là một phần cốt lõi của Windows và không thể bị vô hiệu hóa.

Cửa sổ lệnh PowerShell

Tại Sao PowerShell Lại Nguy Hiểm?

Khi kẻ tấn công muốn lợi dụng PowerShell, họ thường sử dụng một trong hai phương pháp: thuyết phục người dùng thực hiện mã độc trong PowerShell hoặc tạo ra một tệp chạy kịch bản độc hại khi mở.

Kẻ Tấn Công Thuyết Phục Người Dùng Chạy Lệnh

Một phương pháp phổ biến là kẻ tấn công lừa người dùng chạy lệnh PowerShell. Thủ đoạn này thường liên quan đến việc làm cho nạn nhân tin rằng họ cần chạy một lệnh PowerShell để khắc phục một vấn đề không tồn tại.

Theo báo cáo của The Register, một thủ đoạn như vậy liên quan đến việc kẻ tấn công xâm nhập vào các trang web hợp pháp và thay đổi chúng để hiển thị thông báo lỗi giả mạo. Thông báo này tuyên bố rằng có vấn đề với bản sao Windows, Google Chrome, Office hoặc OneDrive của người dùng. Để “khắc phục” vấn đề này, thông báo giả mạo yêu cầu người dùng chạy một lệnh PowerShell để sửa chữa.

Tất nhiên, mã được cung cấp không sửa chữa gì cả. Thay vào đó, nó yêu cầu PowerShell kết nối với một máy chủ, tải xuống một tệp thực thi độc hại từ máy chủ bên ngoài và chạy nó. Một trường hợp tấn công như vậy đã sử dụng PowerShell để tải xuống một dropper, sau đó tải xuống thêm năm loại mã độc khác lên máy tính mục tiêu.

Một biến thể khác của cuộc tấn công “kích hoạt bởi người dùng” này đã được phát hiện qua email. Email bao gồm một tệp HTML được thiết kế để trông giống như Microsoft Word. Khi mở, nó tuyên bố không thể hiển thị thông tin trong tài liệu Word vì một tiện ích mở rộng đã ngừng hoạt động. Người dùng sau đó được yêu cầu sao chép và dán mã độc vào PowerShell để sửa chữa hoặc tải xuống một tệp độc hại thực hiện công việc cho kẻ tấn công.

Tệp Độc Hại Sử Dụng PowerShell Để Chạy Malware Không Tệp

Phiên bản đáng sợ hơn của cuộc tấn công PowerShell sử dụng malware không tệp để tấn công mục tiêu. Phương pháp này sử dụng PowerShell để thực hiện các nhiệm vụ độc hại mà không cần tải xuống tệp trên máy tính của nạn nhân. Nếu malware không tải xuống bất kỳ tệp nào, nó sẽ ngăn phần mềm diệt virus phát hiện, làm cho nó khó tìm và loại bỏ.

Chúng tôi đã đề cập đến một phiên bản tinh vi của cuộc tấn công này trong bài viết về malware tấn công người tải phim bất hợp pháp. Phương pháp tấn công này thường ngụy trang một tệp LNK chứa kịch bản độc hại dưới dạng tệp khác. Trong ví dụ về phim bất hợp pháp, tệp LNK đã được sửa đổi để trông giống như một tệp video để đánh lừa người dùng chạy nó.

Mã nguồn Peaklight

Cách Tránh Các Cuộc Tấn Công PowerShell

Vấn đề với việc tránh các cuộc tấn công PowerShell là có những giải pháp hợp pháp yêu cầu bạn nhập lệnh vào PowerShell. Do đó, trước khi nhập lệnh, bạn nên dành thời gian xem xét độ tin cậy của nguồn.

Nếu bạn đang tìm kiếm một giải pháp và tìm thấy một trang web đáng tin cậy và uy tín khuyên bạn nên sử dụng một lệnh, thì việc thực hiện nó sẽ không có vấn đề gì. Nếu nó đến từ một thông báo lỗi giả mạo được thiết kế để làm bạn hoảng sợ, nó sẽ gây hại.

Nếu bạn thấy một lệnh và không chắc nó làm gì, hãy thử tìm kiếm nó trên mạng. Nếu nó hữu ích, bạn sẽ tìm thấy kết quả của những người khác đề xuất lệnh đó. Nếu bạn không tìm thấy gì (hoặc thậm chí tìm thấy ai đó báo cáo nó là độc hại), việc chạy nó không phải là ý kiến hay.

Nếu bạn vô tình chạy một cuộc tấn công PowerShell, bạn có thể thử sử dụng phần mềm diệt virus tốt nhất để loại bỏ malware. Tuy nhiên, như chúng tôi đã đề cập trước đó, các cuộc tấn công PowerShell sẽ cố gắng làm cho mình trở nên không thể phát hiện. Nếu bạn nhận thấy điều gì đó bất thường sau khi chạy lệnh PowerShell, cách tốt nhất là cài đặt lại hệ điều hành để đảm bảo mọi thứ được xóa sạch.

PowerShell là một công cụ hữu ích cho phép bạn kiểm soát nâng cao hệ thống của mình. Tuy nhiên, một số kẻ tấn công cố gắng lừa người dùng lạm dụng nó. May mắn thay, nếu bạn giữ vững tinh thần cảnh giác, bạn có thể tránh bị tấn công.